CN1761240B - 用于高度可实现性应用的智能集成网络安全设备 - Google Patents
用于高度可实现性应用的智能集成网络安全设备 Download PDFInfo
- Publication number
- CN1761240B CN1761240B CN200510106769.2A CN200510106769A CN1761240B CN 1761240 B CN1761240 B CN 1761240B CN 200510106769 A CN200510106769 A CN 200510106769A CN 1761240 B CN1761240 B CN 1761240B
- Authority
- CN
- China
- Prior art keywords
- safety system
- equipment
- safety
- stream
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于检查数据包的方法和设备。一个初级安全系统可以被配置以处理数据包。该初级安全系统可操作以保持一组设备的流信息,以便于对数据包进行处理。可指定一个当发生故障事件时处理数据包的次级安全系统。可以将来自初级安全系统的流记录与次级安全系统共享。
Description
技术领域
与本发明的原理相一致的系统、设备和方法总体上涉及控制计算机网络安全。
背景技术
防火墙和侵入检测系统都是可用于保护计算机网络使其免受未经授权的或破坏性的用户侵入的设备。防火墙可保护局域网的安全,使局域网外部的用户无法进入。防火墙对于发送到或者来自局域网外部的用户的所有信息进行检查、路由并频繁地添加标注。侵入检测系统(IDS)可用于检验在网络内传输的信息,以识别出可疑的行为模式。
基于流的路由器(FBR)可允许网络管理员根据网络管理员所规定的网络策略来实现数据包的转发和路由。FBR可允许网络管理员实现有选择性地通过网络中的指定路径对数据包进行路由的策略。FBR也可以用来确保特定类型的数据包当它们被路由时接受有区别的、优选的业务。常规路由器可以根据可用的路由信息将数据包转发到它们的目的地址。与仅仅根据目的地址来进行路由不同的是,FBR允许网络管理员实现路由策略,以根据多种其他的标准来接受或拒绝数据包,这些其他的标准包括:应用、协议、数据包大小以及终端系统的身份。
数据包过滤器可以对网络层中的数据进行操作,以保护所信任的网络免于受到来自不信任的网络的攻击。例如,数据包过滤器检查传输控制协议/互联网协议(TCP/IP)包头的字段,包括协议类型、互联网协议(IP)的源地址和目的地址、源端口号和目的端口号。数据包过滤器的缺点是速度慢、而且对具有复杂安全策略的大型网络的管理很困难。
代理服务器可以对应用层中承载的数据进行操作,从而将所信任的网络和不信任的网络隔离开来。在一个应用代理服务器中,可以建立两条传输控制协议(TCP)连接:一条连接在数据包源服务器和代理服务器之间,另一条连接在代理服务器和数据包目的服务器之间。应用代理服务器可以以目的服务器的名义接收到来的数据包。应用数据可以由代理服务器来组装和检验,而第二条TCP连接在代理服务器和目的服务器之间可以是开放的,从而将已接受的数据包中继转发到目的服务器。代理服务器可能很慢,因为在应用层中检查数据包需要附带的协议栈开销。此外,由于对于每个应用可能需要一个唯一的代理服务器,代理服务器的实现可能会很复杂,且很难加以修改以支持新的应用。另外,由于代理服务器仅检验应用数据包,因此代理服务器不可能在TCP或网络层上检测到试图发起的网络安全侵入。
发明内容
本发明提供了用于检查数据包的方法和设备。
在第一个方面,提供了用于检查数据包的方法。该方法可包括:配置一个初级安全系统以处理数据包,其中这个初级安全系统可被操作以保持一组设备的流信息,以便于处理数据包;指定一个当发生故障事件时用于处理数据包的次级安全系统;并且将来自初级安全系统的流记录与次级安全系统共享。
在第二个方面,提供了一种系统。该系统可包括一个第一设备。这个第一设备可包括一个第一安全装置、一个可操作以保持与从一个计算机网络接收到的数据包相关联的流信息的第一模块、以及一个可操作以允许与一个第二设备交换流记录的通信接口。所述第一模块还可操作以将对于设备特定的流信息与第一安全设备共享。
在第三个方面,提供了一种用于检查数据包的系统。该系统可包括一个初级安全设备,这个初级安全设备可操作以接收和处理数据包。所述初级安全设备可包括用于保持包含在初级安全设备内的一组设备的流信息的装置。一个次级设备可操作以当发生故障事件时处理初级安全设备的数据包。所述次级安全设备还包括用于在一组设备之间共享信息的装置。该系统还包括用于将来自初级安全设备的流记录与次级安全设备共享的装置。
本发明的一个或多个实施例的细节在附图和下面的说明中描述。本发明的其他特征和优点通过说明书、附图和权利要求变得更为清楚。
附图说明
图1示出了包括一个会话模块的网络拓扑图。
图2示出了所述会话模块的框图。
图3示出了流表的结构。
图4示出了描述所述会话模块的操作的流程图。
图5示出了描述所述会话分类的流程图。
图6示出了由所述会话模块生成的准重新组装信息。
图7示出了所述会话模块包含在一个防火墙中的情况下的网络拓扑图。
图8示出了所述会话模块与防火墙、IPS和路由器协同工作时的网络拓扑图。
图9示出了会话模块、防火墙、IPS和路由器包含在一个安全设备中的情况下的网络拓扑图。
图10示出了一组安全设备包含在一个高可用性结构中的情况下的网络拓扑图。
图11a-c描述了用于在图10所示网络拓扑图中提供故障保护的处理过程。
在不同的附图中用相同的附图标记和标号来表示相同的单元。
具体实施方式
图1示出了一个实例性的网络拓扑图,其包含一个局域网(LAN)100,所述局域网包括一个服务器102、多个工作站(W/S)104a-104c(在总体上用“104”表示)、以及一个安全系统124。所述安全系统124可包括一个会话模块122和一组其他安全设备。在所示的实施方式中,安全系统124可包括两个安全设备,即第一安全设备106和第二安全设备108。LAN 100可以通过安全系统124连接到一个外部网络,例如互联网114b。第二个LAN 116可包括一个Web服务器110、一个Email服务器112、一个服务器138、多个工作站134a-134f(在总体上用“134”表示)、以及一个安全系统124。LAN 116可经由安全系统126连接到互联网114a。安全系统126可包括一个第一安全设备128、一个第二安全设备130、以及一个会话模块132。LAN中的计算机、服务器和其他设备可以使用多种数据传输介质相互连接,这些数据传输介质如导线、光纤、无线电波等。安全系统124和安全系统126可以类似的方式操作。例如使用安全系统124,会话模块122可以监控网络内传输的数据包。在一个实施方式中,第一安全设备106可以是一个防火墙,而第二安全设备可以是IPS。会话模块122可以与第一安全设备106和第二安全设备108相关联地工作,以便于阻止与试图发起网络安全侵入相关的数据包。
图2示出了一个实例性的会话模块的框图,如会话模块122。会话模块122可包括一个用于接收数据包的输入包接口205。会话模块132可以类似的方式操作。接收到的数据包可以由流处理引擎(FPE)202进行分析,以判断是否正在进行网络安全侵入的尝试。会话模块122也可以包括一个流表215。流表215可用于存储关于与接收到的数据包相关的流的信息。会话模块122还可以包括与网络上的其他安全设备的接口。在一个实施方式中,会话模块122可包括一个防火墙接口220、一个IPS接口225、以及一个基于流的路由器接口230。安全设备接口218可以被会话模块122用来获得关于接收到的数据包的信息、以及关于与数据包相关的流的信息,从而判断接收到的数据包是否应该被准许或更改。安全设备接口218也可以被会话模块122用来传输可由安全设备所使用的流信息,以便于处理数据包。
图3示出了一个流表215的结构,这个流表在实践中可以按照本发明的原理来使用。流表215可包括与当前的TCP/IP流相关的流记录302a-302e(在总体上用“302”表示)。一个TCP/IP流可包括一系列在一个方向上在源和目的地之间传输数据包的信息。流记录可以用索引键值305来编入索引。索引键值305可用来存储和获得与接收到的数据包相关的适当的流记录。在一个实施方式中,索引键值305可以是一个混列键值(hash key),而流表215可以作为混列表来实现。会话模块122(图2)可以在相同的流记录中存储网络上两个或多个安全设备的指令。在会话模块122的一个实施例中,在流记录302中可以存储三个安全设备(例如设备310、315和320)的指令。流记录302可以存储策略信息(例如防火墙策略、IPS策略等,以应用于这个流),以及存储可以由安全设备所使用的其他信息,如加密参数、地址转换参数、簿记(bookkeeping)信息和统计数据。流记录302也可以包括由会话模块122用来判断是否应该准许该数据包的流信息325。这种信息可包括实现例如关于连接超时、时间记帐、以及带宽使用的网络策略所需的信息。在同时申请和申请人共有的名为“Multi-Method Gateway-based Network Security Systems and Methods”的专利申请(美国专利申请号为10/072683)中更详细地描述了流、会话和流表,该专利申请的内容在此整个并入作为参考。
图4是描述了在与本发明的原理相一致的一个实施方式中FPE202(图2)的示例性操作的流程图。输入数据包可以由会话模块122接收(步骤400)。IP数据包可以被分段(步骤402),并且IP包头可以对于每个IP数据包被验证(步骤403)。在步骤403期间,与一个给定数据包相关的IP包头可以被提取出来,并检查是否存在基本的缺陷。
如果所述数据包是一个TCP数据包(步骤404),TCP包头可以被确认有效(步骤405),并且TCP数据包可以被重组(步骤410)。确认有效的过程可包括提取TCP包头数据,并对包头进行分析以查找基本缺陷。在步骤410中形成的准重组(quasi-reassembly)信息可以通过会话模块122传送到其他安全设备,以便于由其他安全设备对数据包进行处理。下面的说明以及美国专利申请号10/072683中更详细地描述了重组步骤。
在步骤415中,PE 202可以使用与给定的接收数据包相关联的TCP/IP包头来执行会话分类。会话模块122可以根据考虑与所述接收数据包相关联的TCP/IP流得到的信息、以及从流表入口获得的信息来判断该数据包是否应该被准许(步骤420)另外,会话模块122可以利用从其他安全设备,例如防火墙(步骤425)、IPS(步骤430)以及基于流的路由器(步骤435)中的一个安全设备所返回的信息。此外,会话模块122也可以通过将流信息传送到用于处理给定的数据包的相应设备,从而便于安全设备的操作。最后,如果该数据包应该被准许的话,则FPE 202可以将该数据包进行转发(步骤440)。否则,对该数据包进行其他的处理(步骤445)。其他处理可包括记录关于该数据包的特殊信息、保存该数据包、或者更改和/或丢弃该数据包。
图5是示出了可包括在会话分类(图4的步骤415)中的示例处理的流程图。这个会话分类步骤可以接收一个数据包(步骤500),并提取可用于判断该数据包是否应该被准许的信息。所提取的信息可包括源IP地址和目的IP地址,源端口号和目的端口号,以及一个协议(步骤505)。所提取的信息可用来搜索流表215(步骤510),以判断该数据包是否和一个已知的会话流相关联。对于一个已知的会话流,步骤510可在流表215中产生一个匹配的流记录(步骤515)。如果找到了一个匹配的流记录,FPE 202(图2)可以从这个匹配的流记录中提取出用于接收到的数据包的TCP/IP会话信息(步骤520)。FPE 202利用步骤520期间所获得的TCP/IP会话信息来判断接收到的数据包是否应该被准许。更具体地说,FPE 202可以从匹配的流记录中提取信息,并可将这个信息传送给安全设备(例如传送来自流记录的会话ID和TCP/IP会话信息,以及其他对于安全设备特定的信息)(步骤525)。根据从安全设备所返回的结果,FPE 202能够转发、丢弃、记录、存储、更改或者处理给定的数据包(步骤530)。
如果在步骤515期间在流表中没有找到匹配的流记录,则接收到的数据包可以和一个新的TCP/IP会话相关联(步骤532)。对于一个新的TCP/IP会话,FPE 202可以为这个新的会话分配一个会话ID,并且FPE 202可以与其他安全设备(例如防火墙、IPS、流路由器)进行通信,从而为与新的会话相关联的数据包确定安全策略。例如,FPE 202可以从一个防火墙获取信息(步骤540),以判断接收到的与新的会话相关联的数据包是否应该被准许。FPE 202可以与一个IPS进行通信(步骤545),以判断接收到的数据包是否应该被阻止,因为它与试图发起网络安全侵入的已知攻击信号相匹配。FPE 202可以从一个流路由器中获取与新的会话相关联的任何网络策略(步骤550)。FPE 202可以作为不同安全设备之间的裁判者,利用单独地或结合地从安全设备中获得的信息来判断与新的TCP/IP会话相关联的数据包是否应该被准许。FPE 202可以利用从安全设备获得的信息来创建一个新的流记录,并可以将这个新的流记录存储到流表215中(步骤555)。这个新的流记录可包括用于和接收到的数据包相关联的新的会话的TCP/IP会话信息,以及其他特定安全设备信息。在此之后,如上面接合图4所描述的,FPE 202可以便于对接收到的和给定的TCP/IP会话相关联的数据包进行处理,包括将会话ID、TCP/IP会话信息和对于安全设备特定的信息从相应的流记录传送到安全设备。
除了利用各种安全设备来判断一个接收到的数据包是否和一个试图发起的网络安全侵入相关联之外,如上面接合图4所描述的那样,会话模块122(图2)还可以对接收到的TCP/IP包进行准重组(quasi-reassembly)。图6示出了可由会话模块122所生成的示例性的准重组信息。准重组信息可以包括一个指向存储器中给定数据包600的位置的指针,以及一个指向包括该数据包在流605中的相对位置的信息的指针。在一种实施方式中,IPS可执行被动的TCP/IP重组,并且指向数据包600的位置的指针可以用来将该数据包在IPS内定位。在另一种实施方式中,指向包含该数据包在流605内的相对位置的信息的指针可以用来获取包含在与该数据包相关的TCP/IP包头内的TCP/IP序列号。准重组信息可以被传送给连接到会话模块122的安全设备(图2)。安全设备可以利用准重组信息来处理接收到的数据包。
如上所述,会话模块122可以用在多个不同的网络拓扑中。图7示出了一种将会话模块122集成到防火墙705中的网络拓扑。防火墙705可包括一个与路由器720和IPS 715的接口。防火墙705可以从一个外部网络接口700接收数据包。防火墙705可以与IPS 715进行通信,以根据已知的攻击信号来判断所接收到的数据包是否应该被阻止。如果防火墙705和IPS 715确定该数据包应该被准许通过,则防火墙705可以将接收到的数据包发送到路由器720。路由器720可以根据存储在路由器内的网络策略,利用一个内部网络接口725,将输出的数据包转发到其所目的地。
图8示出了一个利用会话模块122来实现计算机网络安全的示例性替代实施例。在这个实施例中,会话模块820可以和防火墙805、IPS 810和路由器815相结合来工作。通过外部网络接口800接收到的数据包可以在传送到路由器815之前由防火墙805来过滤。防火墙805也可以将关于接收到的数据包的信息发送到IPS 810。IPS 810可以对接收到的数据包进行检验,并可以根据已知的攻击信号通知会话模块820是否应该阻止接收到的数据包。路由器815可以将数据包发送到会话模块820以进一步处理。如果会话模块820确定接收到的数据包应该被准许,则它可以通过一个内部网络接口825将接收到的数据包转发到其目的地。
图9示出了一个利用会话模块122来实现计算机网络安全的示例性的具有高度可实现性的实施例。在这个实施例中,网络拓扑可以包括一个局域网(LAN)900,包括外部网络接口902a、内部网络接口904a、和一个第一安全系统924a。第一安全系统924a可包括会话模块122a和一组其他安全设备。在所示的实施方式中,第一安全系统924a包括两个安全设备、一个防火墙设备905a和一个IPS设备910a。在另一种实施方式中,第一安全系统924a可包括更多的或更少的安全设备,例如包括一个防火墙905a,而没有IPS。LAN 900可通过外部网络接口902a,经由第一安全系统924a连接到一个外部网络,例如互联网。LAN 900也可通过外部网络接口902b,经由一个第二安全系统924b连接到外部网络,例如互联网。第二安全系统924b可包括会话模块122b和一组安全设备。在所示的实施方式中,第二安全系统924b可包括两个安全设备、一个防火墙设备905b和一个IPS设备910b,以及一个内部网络接口904b。在另一种实施方式中,第二安全系统924b可包括更多的或更少的安全设备,例如包括一个防火墙905b,而没有IPS。第一和第二安全系统924a/b可以以相同方式配置。第一和第二安全系统924a/b可以经由一条链路929来连接。链路929可以是连接至LAN 900的内部链路,或者作为替代,也可以是作为外部网络的一部分的链路。第二安全系统924b可以通过外部网络接口902b直接耦合到一个外部网络,例如互联网。作为替代,第二安全系统924b也可以经由第一安全系统924a耦合到外部网络。类似地,第一和第二安全系统924a/b可以共享一个内部网络接口。LAN 900内的计算机、服务器和其他设备可以通过多个数据传输介质相互连接,这些数据传输介质包括、但不限于线路、光纤和无线电波。
用于具有高度可实现性的网络拓扑的其他配置也是可能的。在每种配置中,第二安全系统924b可以在出现故障时用来支持由第一安全系统924a所处理的数据流。在与本发明的原理相一致的一种实施方式中,第二安全系统924b可以由一个安全系统池来提供。在这个系统池中,至少一个安全系统可以和基本故障系统相同。在这个系统池中的一个或多个其它安全系统可以和次级故障系统相同。第二安全系统中的每一个可以被动地(即直到故障事件出现之前处于闲置状态)也可以主动地处理数据包,以支持其自身的网络需求。在与本发明的原理相一致的一种实施方式中,第一和第二安全系统可以分别为对方提供故障保护。在这种实施方式中,可以在这两个安全系统之间交换故障数据。下面将更详细地讨论在出现故障之前以及在支持故障保护时安全系统的操作。
在图9所示的具有高度可实现性的实施方式中,第二安全系统924b可以被配置为在第一安全系统924a出现故障时进行操作。故障可能在网络拓扑中的第一安全系统924a或者连接至第一安全系统924a的链路出错时发生。故障可以由第二安全系统924b通过检测接收“保持激活(keep-alive)信号”、数据或其他状态信息时发生的错误而检测出来。在与本发明的原理相一致的一种实施方式中,第一安全系统924a可包括一个故障引擎930。故障引擎930可以操作用来将故障数据发送到另一个安全系统(例如第二安全系统924b),从而使两个安全系统同步。在与本发明的原理相一致的一种实施方式中,故障数据可包括来自与各个安全系统(例如第一安全系统924a)相关联的流表215(作为会话模块122的一部分)的数据。更具体地说,在发生故障之后,第二个安全系统(例如第二安全系统924b)可以接收最初预定由第一个安全系统(例如第一安全系统924a)处理的数据包,以进行路由和处理(即对于出现故障的情况)。所接收的数据包中的一部分涉及先前已经在第一安全系统中被处理和识别的会话。在发生故障之前共享流信息可以允许第二安全系统无缝地处理已接收的现有流的数据包。常规的系统不能在发生故障之前共享流信息,因此必须丢弃涉及现有会话(即在发生故障时的当前会话)的所有数据包,或者作为替代,重复处理步骤。
如上所述,第一安全系统924a中的会话模块122a可以监控在网络内传输的数据包。会话模块122a可以与防火墙设备905a和IPS 910a协同工作,以便于阻止与试图发起的网络安全侵入相关的数据包。
第二安全系统924b的故障引擎930(图9)可以操作以检测一个或多个初级安全系统(例如第一安全系统)中的故障,为此一个给定的安全系统可以被指定作为故障设备。故障引擎930可以操作以检测给定的初级安全系统的链路或操作中的故障。在与本发明的原理相一致的一种实施方式中,一个给定的安全系统可以作为一个或多个其它安全系统的故障系统。故障引擎930可以控制相应设备中流表215的信息的接收和更新。更具体地说,故障引擎930可以操作以从初级安全系统向次级安全系统提供同步信息,随时间更新同步信息,检测初级安全系统的故障,并且启动在次级安全系统中对数据包的处理,这些数据包原本应由初级安全系统处理,但由于检测到发生故障而只能由次级安全系统处理。
现在参照图10,示出了会话模块122的另一种实现方式。会话模块122的这种实现方式可包括用于接收数据包的到来数据包接口205。接收到的数据包可以由流处理引擎(FPE)202进行分析,以判断是否正在试图发起网络安全侵入。会话模块122也可以包括流表215。流表215可以用来存储关于与接收到的数据包相关的流的信息。流表215可以包括一个初级部分或激活部分1002,以及一个次级部分1004。初级部分1002可以是流表中专门用来存储与作为初级安全系统的给定会话模块的操作相关的信息的部分(例如存储该会话模块主动参与数据包处理的流信息)。次级部分1004可以是流表中专门用来存储与作为次级安全系统的给定会话模块的操作相关的信息的部分(例如该会话模块在发生故障的情况下可能要处理的流的故障/同步信息)。在一种实施方式中,初级和次级部分1002和1004可以集成到流表215中。在另一种实施方式中,流表215可以存储对应于多个初级安全系统的多个次级部分,一个给定的会话模块可以为这些初级安全系统提供故障支持。
会话模块122也可以包括与网络上的其他安全设备的接口,以及一个或多个与其他安全系统的接口。在与本发明的原理相一致的一种实施方式中,会话模块122可以包括一个防火墙接口220、一个IPS接口225、以及一个故障接口1000。这些安全设备接口由会话模块122用来获得关于接收到的数据包的信息,以及关于和该数据包相关的流的信息,从而判断接收到的数据包是否应该被准许或修改。故障接口1000可以用来将同步信息发送到网络中的其他安全系统。
在与本发明的原理相一致的一种实施方式中,初级和次级安全系统中的每一个可以包括会话模块122,而会话模块122可包括故障引擎930。在这样的实施方式中,第一安全系统924a和第二安全系统924b(图9)除了会话模块122之外并没有单独的故障引擎930。
对于第一安全系统(即被操作用来以常规方式传递数据包的初级安全系统)的处理步骤可以包括对会话模块122中的流表215进行初始化(步骤1102)。在初始化之后,故障引擎930可以识别反映流表215的初始状态/当前状态的信息(步骤1104),并可经由故障接口1000将该信息传送到第二安全系统(其中它例如存储在次级部分1004中)。在初始化之后,第一安全系统的会话模块122可以对数据包进行分析,并进行其他的会话,如上所述,存储在流表215中或从流表215中删除的其他信息涉及图3-5(步骤1108)。在预定的时刻,故障引擎930可以从流表215经由故障接口1000向一个或多个次级安全系统提供信息(步骤1110)。这一过程可以重复进行,从而在第二安全系统(例如在流表215的相应的次级部分中)中保持来自流表215的信息的当前拷贝。
在一种实施方式中,流表215可以在预定的时刻被复制,并整个提供给第二安全系统。在一种替代实施方式中,流表215仅有一部分被复制。在一种实施方式中,每次当在第一安全系统中创建一个会话或断开(torn down)一个会话时发送一条消息。在一种实施方式中,可以为每个新的会话提供超时信息。在这种实施方式中,只要当第一安全系统中的相关定时器被复位时,可以向每个第二安全系统发送一条刷新消息(即在第二安全系统中刷新定时器)。作为替代,未将超时信息与传送给第二安全系统的会话信息一起发送。在这种配置中,第二安全系统可以在启动(set-up)时接收刷新消息,并中断第一安全系统中的会话。
在一种实施方式中,可以为每个新创建的会话提供超时信息。在第二安全系统中,超时功能可以被禁止(即第二安全系统没有在超时期间届满后从流表中删除会话)。在一种实施方式中,只有当第二安全系统在发生故障后接管数据包处理时,定时器才被启动,以对与第一安全系统相关的数据流进行定时。
第二安全系统(例如操作用来在发生故障时处理来自第一安全系统的数据包的安全系统)的处理步骤可包括对第二安全系统的会话模块122中的流表215进行初始化(步骤1122)。反映流表215的初始状态的信息可以由第二安全系统通过故障接口1000来接收(步骤1124),并存储在流表215的次级部分中(步骤1126)。第二安全系统可以继续以预定的时间间隔接收来自第一安全系统的更新(步骤1128),并且流表215可以被更新(步骤1126)。当故障引擎930检测到发生故障时(步骤1130),第二安全系统的会话模块122可以对流表215进行初始化(步骤1132)。故障可以由一个外部实体或者由第二安全系统检测出来。数据包可以提供给第一和第二安全系统以进行处理。然而,第二安全系统可以被配置为不处理数据包,除非已经检测到故障发生。故障检测可以通过查询(ping)或保持激活(keep-alive)信号被检测出来。在一种实施方式中,第一安全系统可以向第二安全系统提供一个保持激活信号。作为替代,第二安全系统可以以间歇方式对第一安全系统进行查询(ping),以判断第一安全系统是否正常工作。在另一种实施方式中,外部实体可以监控第一安全系统的操作。当检测到第一安全系统或与之相关的连接路径中存在故障时,可以生成一个接管(take-over)信号,并将其传送给适当的第二安全系统。
对第二安全系统中的流表215进行初始化可包括激活流表215的适当的次级部分1004。初始化过程可包括对流表215进行重新排序,从而将初级部分1002和次级部分1004的记录分别结合起来(例如如果第二安全系统主动支持发生故障之前的其他数据包处理)。在一种实施方式中,每条记录可包括指明该记录属于哪个安全系统的标签。在初级安全系统恢复正常工作的情况下,所述标签可用来很容易地清除来自第二安全系统的流表的初级部分的记录。在此之后,如上面参照图3-5所述,第二系统中的会话模块122可以开始接收并分析数据包(进行其他的会话,并处理存储在流表215中/从流表215中删除的其他信息)(步骤1124)。在预定的时刻,会话模块122的故障引擎930可以经由其故障接口1000向一个或多个第三安全系统提供来自流表215的信息(步骤1136)。更新信息可以以预定的时间间隔提供给第三安全系统,从而在一个或多个第三安全系统中保持来自流表215的信息的当前拷贝。在一种实施方式中,流表215可以在预定的时刻被复制,并正给提供给一个或多个第三安全系统。在一种替代实施方式中,可以只复制流表215的一部分。在一种实施方式中,可以继续对数据包执行上述操作,直到发生预定的事件。所述预定的事件可以是第一安全系统从故障状态恢复到正常工作。
现在参照图11c,示出了在一个安全网络中提供高度可实现性的处理过程。一个初级安全系统可以被识别(步骤1152),并且一个或多个次级安全系统可以被识别(步骤1154)。初级安全系统可以是操作用来处理直到故障事件发生时该初级安全系统所接收的数据包的安全系统。所述故障可包括初级安全系统的故障,以及从初级安全系统到网络的链接的故障。次级安全系统可以被指定为在故障事件发生后用来处理与初级安全系统相关的数据包的荷载。在一种实施方式中,可以识别一个次级安全系统。在一种替代实施方式中,可以识别一个次级安全系统池。在系统池的一种实现方式中,一个次级安全系统可以被指定为主机,而一个或多个其它的次级安全系统可以被指定为从机。当发生故障时,作为主机的次级系统可用来处理发生故障的初级安全系统的数据包。当作为主机的设备发生故障时,从机可进行操作以取代主机的作用。
回到高度可实现性的处理过程,初级安全系统可以对流表215进行初始化(步骤1156),并且流表的初始配置可以被传送给次级安全系统(步骤1158)。数据包可以按照常规方式由初级安全系统进行处理,并且流表215可以被相应地更新(步骤1160)。在预定的时刻,来自次级系统的流表215可以用来自初级安全系统的信息来更新(步骤1162)。当检测到发生故障事件时(步骤1164),次级安全系统可以对次级系统中的流表215进行初始化,并且可以开始处理路由至初级安全系统的数据包(步骤1166)。在一种实施方式中,当故障事件被纠正后,初级安全系统可以被重新初始化,包括更新流表215,并且初级安全系统可以恢复执行数据包处理。
如上面参照图9所描述的,当初级和次级安全系统包括多个安全设备时(例如防火墙和IPS),不需要对各个设备进行单独的同步。因此,减少了要在各个设备之间传递的数据量。另外,随着要传递的信息量的减少,可以提高可靠性。在图9所示的配置中,每个安全设备可以共享统一的流表215中的信息。其他处理功能可以在次级安全系统中实现。例如,当发生故障时,先前确定为已识别的流表的一部分的数据包可以由IPS进行旁路处理。在一种实施方式中,两个安全系统可以彼此作为故障设备(例如第一系统作为第二系统的故障设备,反之亦然)。在另外的实施方式中,故障安全设备可以是常规的系统(即在设备之间没有共享的流信息),并且由故障安全系统所接收的流信息可以由多个设备共享。
与本发明的原理相一致的实施例可以通过数字电子电路来实现,或者通过计算机硬件、固件、软件来实现,或者通过它们的结合来实现。本发明的实施例可以实现为计算机程序产品,即实际嵌入到信息载体、例如机器可读的存储设备或者所传播的信号中的计算机程序,用于由数据处理设备,例如可编程处理器、计算机或多个计算机来执行,或者对其操作进行控制。计算机程序可以用任何形式的编程语言来写成,包括汇编语言或解释语言,并且它可以以任何形式来调用,包括作为独立的程序或者作为模块、组件、子程序或其他适用在运算环境下的单元。计算机程序可以被调用,以在一台计算机上或者在位于一个站点处或分布在多个站点上、由通信网络互联的多台计算机上执行。
本发明的方法步骤可以由一个或多个执行计算机程序的可编程处理器来实现,通过对输入数据进行操作并生成输出数据来实现本发明的功能。本发明的方法步骤以及设备也可以由专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来实现。
作为示例,适用于执行计算机程序的处理器既包括通用微处理器也包括专用微处理器,以及任意的一个或多个用于任何类型的数字计算机的处理器。总的来说,处理器能够从只读存储器或随机访问存储器或者同时从这两者接受指令和数据。计算机的基本元件是用于执行指令的处理器,以及一个或多个用于存储指令和数据的存储设备。总的来说,计算机也可包括或可操作地连接到一个或多个用于存储数据的海量存储设备,例如磁盘、磁-光盘、或者光盘,用于从这些存储设备接收数据或者将数据发送到这些存储设备。适用于承载计算机程序指令和数据的信息载体可包括所有形式的非易失性存储器,例如包括半导体存储设备,如EPROM、EEPROM及闪存设备;磁盘,如内部的硬盘或可移动磁盘;磁-光盘;以及CD-ROM和DVD-ROM光盘。处理器和存储器可以通过专用逻辑电路来补充,或者结合到专用逻辑电路中。
与本发明的原理相一致的实施例可以通过运算系统来实现,这种运算系统包括后端组件、例如数据服务器,或者包括中间设备组件、例如应用服务器,或者包括前端组件、例如具有图形用户界面或Web浏览器的客户端计算机,用户可以通过它与本发明的应用进行互动,或者包括上述的后端、中间设备、前端组件的结合。这种系统的组件可以通过任何形式或介质的数字数据通信、例如通信网络来互联。通信网络的例子例如包括局域网(“LAN”)和广域网(“WAN”),如互联网。
运算系统可包括客户端和服务器。客户端和服务器可以彼此远距离放置,并可通过通信网络来互动。客户端和服务器之间的关系借助于在各个计算机上运行、彼此具有客户端-服务器关系的计算机程序来实现。
本发明已经在特定实施例中进行了描述。然而应该理解,在不背离本发明的构思和保护范围的情况下可以做出各种改动。例如,本发明的步骤可以按照不同的顺序来执行,仍可以达到所希望的效果。此外,会话模块、IPS、防火墙和路由器都可以组合为一个单个的设备,如图9所示的配置。将会话模块与一个或多个安全设备封装在一起的其他配置也是可能的。因此,其他实施方式也都在后面的权利要求所要保护的范围之内。
Claims (39)
1.一种用在计算机网络中的方法,包括:
配置一个第一安全系统以处理数据包,所述第一安全系统可操作以保持多个设备的流信息,以便于对数据包进行处理,所述配置包括:
在第一安全系统中对流表进行初始化,所述流表包括:
存储与作为初级安全系统的第一安全系统的操作相关的信息的初级部分,和
存储与作为次级安全系统的第一安全系统的操作相关的信息的次级部分;
指定一个用于当发生故障事件时处理数据包的第二安全系统;并且
将来自第一安全系统的流表的流信息传送到第二安全系统。
2.如权利要求1的方法,还包括:
判断是否发生了故障事件;并且
当发生故障事件时,由第二安全系统为第一安全系统处理数据包。
3.如权利要求2的方法,其中所述故障事件包括第一安全系统的故障。
4.如权利要求2的方法,其中所述故障事件包括从第一安全系统至计算机网络的链路的故障。
5.如权利要求2的方法,其中所述判断在第二安全系统处进行。
6.如权利要求2的方法,其中所述判断还包括:检测是否缺少保持激活信号。
7.如权利要求2的方法,其中所述判断还包括:
监控第一安全系统的操作,并且
当上述监控操作中检测到故障时,向第二安全系统发送一个接管信号。
8.如权利要求1的方法,其中所述第二安全系统被配置为与第一安全系统基本上相同。
9.如权利要求1的方法,其中将来自第一安全系统的流表的流信息传送到第二安全系统还包括:
以预定的时间间隔在第一安全系统和第二安全系统之间共享流记录。
10.如权利要求1的方法,其中将来自第一安全系统的流表的流信息传送到第二安全系统还包括:
当第二安全系统接收到一个刷新消息时,在第一安全系统和第二安全系统之间共享流记录。
11.如权利要求10的方法,其中当建立或断开一个会话时,第一安全系统发送所述刷新消息。
12.如权利要求2的方法,还包括:
当引起故障事件的状况被消除时,在第一安全系统处恢复对数据包的接收和处理。
13.如权利要求2的方法,其中第一安全系统为第二安全系统提供故障支持,第二安全系统为第一安全系统提供故障支持。
14.一种用于控制网络安全的系统,所述系统包括:
一个第一设备,包括:
一个第一安全设备;
一个第一模块,可操作以保持与从计算机网络接收的数据包相关联的流信息,并与所述第一安全设备共享对于设备特定的流信息,所述第一模块包括流表,所述流表包括:
存储与作为初级安全设备的第一模块的操作相关的信息的初级部分,和
存储与作为次级安全设备的第一模块的操作相关的信息的次级部分;以及
一个接口,可操作以将流信息从流表的初级部分传送到一个第二设备。
15.如权利要求14的系统,还包括:
所述的第二设备,包括:
一个第二安全设备;以及
一个第二模块,可操作以保持与从计算机网络接收的数据包相关联的流信息,并与所述第二安全设备共享对于设备特定的流信息。
16.如权利要求14的系统,其中:
第一设备和第二设备中的一个被配置以判断是否发生了与第一设备和第二设备中的另一个相关联的故障事件,并且
当确定故障事件已经发生时,第一设备或第二设备中的一个可操作从而为第一设备或第二设备中的另一个处理数据包。
17.如权利要求16的系统,其中:
在发生故障事件之后,当引起故障事件的状况被消除时,第一设备或第二设备中的所述另一个恢复对数据包的处理。
18.如权利要求16的系统,其中所述故障事件包括第一设备或第二设备中的一个的故障。
19.如权利要求16的系统,其中所述故障事件包括来自第一设备或第二设备中的一个的链路的故障。
20.如权利要求16的系统,其中:
第一设备可操作以与第二设备共享流记录。
21.如权利要求16的系统,其中:
第一设备可操作以当第二设备接收了一个刷新消息时与第二设备共享流记录。
22.如权利要求16的系统,其中:
第二设备可操作以通过检测是否缺少保持激活信号来判断故障事件是否发生,并为第一设备提供故障支持。
23.如权利要求16的系统,其中:
第二设备可操作以通过接收一个接管信号来判断故障事件是否发生。
24.如权利要求16的系统,其中:
第二设备可操作从而以预定的时间间隔来判断故障事件是否发生。
25.如权利要求23的系统,还包括:
一个第三设备,可操作以监控第一设备的操作,并当第三设备检测到与第一设备相关的故障时向第二设备发送接管信号。
26.如权利要求15的系统,其中第一设备和第二设备以基本上相同的方式配置。
27.如权利要求21的系统,其中第一设备可操作以当建立或断开一个会话时发送刷新消息。
28.如权利要求14的系统,其中所述第一安全设备包括防火墙、侵入检测系统、或防止侵入系统。
29.一种用于控制网络安全的系统,所述系统包括:
一个第一安全系统,以接收和处理数据包,该第一安全系统包括用于保持包含在所述第一安全系统中的多个设备的流信息的装置,用于保持包含流表的流信息的装置包括:
存储与作为初级安全系统的第一安全系统的操作相关的信息的初级部分,和
存储与作为次级安全系统的第一安全系统的操作相关的信息的次级部分;
一个第二安全系统,以当发生故障事件时为第一安全系统处理数据包,该第二安全系统包括用于在另外的多个设备之间共享流信息的装置;以及
用于将来自第一安全系统的流记录与第二安全系统共享的装置。
30.如权利要求29的系统,还包括:
用于判断是否发生了与第一安全系统相关的故障事件的装置;以及
当上述用于判断的装置确定发生了故障事件时,用于使第二安全系统为第一安全系统处理数据包的装置。
31.如权利要求29的系统,其中所述故障事件包括第一安全系统的故障或者来自第一安全系统的链路的故障。
32.如权利要求30的系统,其中第二安全系统包括用于判断是否发生了与第一安全系统相关的故障事件的装置。
33.如权利要求30的系统,其中用于判断是否发生了与第一安全系统相关的故障事件的装置还包括:
用于检测是否缺少保持激活信号的装置。
34.如权利要求30的系统,其中用于判断是否发生了与第一安全系统相关的故障事件的装置还包括:
用于监控第一安全系统的操作的装置,以及
当上述用于监控的装置检测到故障时,用于向第二安全系统发送一个接管信号的装置。
35.如权利要求29的系统,其中用于将来自第一安全系统的流记录与第二安全系统共享的装置还包括:
用于以预定的时间间隔共享流记录的装置。
36.如权利要求29的系统,其中用于将来自第一安全系统的流记录与第二安全系统共享的装置还包括:
用于当接收到一个刷新消息时共享流记录的装置。
37.如权利要求36的系统,其中所述第一安全系统还包括用于当建立或断开一个会话时发送刷新消息的装置。
38.如权利要求30的系统,还包括:
当引起故障事件的状况被消除时,用于使第一安全系统恢复对数据包的处理的装置。
39.如权利要求29的系统,其中:
所述第一安全系统还包括:
用于为第二安全系统提供故障支持的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/961,075 | 2004-10-12 | ||
| US10/961,075 US7734752B2 (en) | 2002-02-08 | 2004-10-12 | Intelligent integrated network security device for high-availability applications |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210032725.XA Division CN102647406B (zh) | 2004-10-12 | 2005-10-12 | 用于高度可实现性应用的智能集成网络安全设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1761240A CN1761240A (zh) | 2006-04-19 |
| CN1761240B true CN1761240B (zh) | 2012-04-25 |
Family
ID=35510976
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510106769.2A Active CN1761240B (zh) | 2004-10-12 | 2005-10-12 | 用于高度可实现性应用的智能集成网络安全设备 |
| CN201210032725.XA Active CN102647406B (zh) | 2004-10-12 | 2005-10-12 | 用于高度可实现性应用的智能集成网络安全设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210032725.XA Active CN102647406B (zh) | 2004-10-12 | 2005-10-12 | 用于高度可实现性应用的智能集成网络安全设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US7734752B2 (zh) |
| EP (1) | EP1648136B1 (zh) |
| JP (1) | JP4782527B2 (zh) |
| CN (2) | CN1761240B (zh) |
Families Citing this family (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US7586838B2 (en) * | 2004-06-22 | 2009-09-08 | Skylead Assets Limited | Flexible M:N redundancy mechanism for packet inspection engine |
| US20070198675A1 (en) * | 2004-10-25 | 2007-08-23 | International Business Machines Corporation | Method, system and program product for deploying and allocating an autonomic sensor network ecosystem |
| US7590868B2 (en) * | 2005-02-09 | 2009-09-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for managing encrypted data on a computer readable medium |
| US8095983B2 (en) * | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
| US8095982B1 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Analyzing the security of communication protocols and channels for a pass-through device |
| US20070189273A1 (en) * | 2006-02-10 | 2007-08-16 | 3Com Corporation | Bi-planar network architecture |
| US7464302B2 (en) * | 2005-05-04 | 2008-12-09 | International Business Machines Corporation | Method and apparatus for expressing high availability cluster demand based on probability of breach |
| US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US7954161B1 (en) | 2007-06-08 | 2011-05-31 | Mu Dynamics, Inc. | Mechanism for characterizing soft failures in systems under attack |
| US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
| US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
| US8316447B2 (en) * | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
| CN101115010B (zh) * | 2007-09-04 | 2010-06-02 | 杭州华三通信技术有限公司 | 扩展安全系统的方法、安全系统及安全处理设备 |
| US7774637B1 (en) | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
| US8117495B2 (en) * | 2007-11-26 | 2012-02-14 | Stratus Technologies Bermuda Ltd | Systems and methods of high availability cluster environment failover protection |
| US8365259B2 (en) * | 2008-05-28 | 2013-01-29 | Zscaler, Inc. | Security message processing |
| US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| US8010085B2 (en) * | 2008-11-19 | 2011-08-30 | Zscaler, Inc. | Traffic redirection in cloud based security services |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US8954725B2 (en) * | 2009-05-08 | 2015-02-10 | Microsoft Technology Licensing, Llc | Sanitization of packets |
| US8379639B2 (en) * | 2009-07-22 | 2013-02-19 | Cisco Technology, Inc. | Packet classification |
| US20110047413A1 (en) * | 2009-08-20 | 2011-02-24 | Mcgill Robert E | Methods and devices for detecting service failures and maintaining computing services using a resilient intelligent client computer |
| CN101699796B (zh) * | 2009-09-09 | 2012-08-22 | 成都飞鱼星科技开发有限公司 | 一种基于流信任的数据报文高速转发的方法、系统及路由器 |
| JP5393380B2 (ja) * | 2009-09-29 | 2014-01-22 | 沖電気工業株式会社 | 信号処理装置及びプログラム、並びに、通信システム |
| JP4831224B2 (ja) * | 2009-09-30 | 2011-12-07 | 沖電気工業株式会社 | 中継装置及びプログラム、中継システム、並びに通信システム |
| US8291258B2 (en) | 2010-01-08 | 2012-10-16 | Juniper Networks, Inc. | High availability for network security devices |
| US8472311B2 (en) * | 2010-02-04 | 2013-06-25 | Genband Us Llc | Systems, methods, and computer readable media for providing instantaneous failover of packet processing elements in a network |
| US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
| US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
| US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
| US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8763106B2 (en) * | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
| US9185056B2 (en) * | 2011-09-20 | 2015-11-10 | Big Switch Networks, Inc. | System and methods for controlling network traffic through virtual switches |
| US9607512B2 (en) * | 2012-02-13 | 2017-03-28 | Cinch Systems, Inc. | Logical controller for vehicle barrier |
| US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
| US9554296B2 (en) | 2012-08-03 | 2017-01-24 | Intel Corporation | Device trigger recall/replace feature for 3GPP/M2M systems |
| US9191828B2 (en) | 2012-08-03 | 2015-11-17 | Intel Corporation | High efficiency distributed device-to-device (D2D) channel access |
| US9036603B2 (en) | 2012-08-03 | 2015-05-19 | Intel Corporation | Network assistance for device-to-device discovery |
| US8913518B2 (en) | 2012-08-03 | 2014-12-16 | Intel Corporation | Enhanced node B, user equipment and methods for discontinuous reception in inter-ENB carrier aggregation |
| US9526022B2 (en) * | 2012-08-03 | 2016-12-20 | Intel Corporation | Establishing operating system and application-based routing policies in multi-mode user equipment |
| WO2014022776A1 (en) | 2012-08-03 | 2014-02-06 | Intel Corporation | Method and system for enabling device-to-device communication |
| US9774527B2 (en) * | 2012-08-31 | 2017-09-26 | Nasdaq Technology Ab | Resilient peer-to-peer application message routing |
| US8874956B2 (en) * | 2012-09-18 | 2014-10-28 | Datadirect Networks, Inc. | Data re-protection in a distributed replicated data storage system |
| US9258313B1 (en) | 2012-09-28 | 2016-02-09 | Juniper Networks, Inc. | Distributed application awareness |
| US9787567B1 (en) | 2013-01-30 | 2017-10-10 | Big Switch Networks, Inc. | Systems and methods for network traffic monitoring |
| RU2544786C2 (ru) * | 2013-06-03 | 2015-03-20 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ формирования защищенной системы связи, интегрированной с единой сетью электросвязи в условиях внешних деструктивных воздействий |
| US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| US10270645B2 (en) | 2014-07-21 | 2019-04-23 | Big Switch Networks, Inc. | Systems and methods for handling link aggregation failover with a controller |
| CN104602281A (zh) * | 2015-01-29 | 2015-05-06 | 深圳市中兴移动通信有限公司 | 移动终端的控制方法、装置、移动终端及系统 |
| US9813323B2 (en) | 2015-02-10 | 2017-11-07 | Big Switch Networks, Inc. | Systems and methods for controlling switches to capture and monitor network traffic |
| US9628504B2 (en) | 2015-03-09 | 2017-04-18 | International Business Machines Corporation | Deploying a security appliance system in a high availability environment without extra network burden |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US20170111272A1 (en) * | 2015-10-14 | 2017-04-20 | Varmour Networks, Inc. | Determining Direction of Network Sessions |
| DE102016205983A1 (de) * | 2016-04-11 | 2017-10-12 | Siemens Aktiengesellschaft | Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers |
| US11115385B1 (en) | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
| US10419327B2 (en) | 2017-10-12 | 2019-09-17 | Big Switch Networks, Inc. | Systems and methods for controlling switches to record network packets using a traffic monitoring network |
| DE102018120344A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6052788A (en) * | 1996-10-17 | 2000-04-18 | Network Engineering Software, Inc. | Firewall providing enhanced network security and user transparency |
| EP1143660A2 (en) * | 1999-06-10 | 2001-10-10 | Alcatel Internetworking, Inc. | State transition protocol for high availability units |
| US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
| CN1490983A (zh) * | 2002-10-15 | 2004-04-21 | 华为技术有限公司 | 一种独立于移动终端的个人信息管理方法 |
| EP1427162A1 (en) * | 2002-12-05 | 2004-06-09 | Broadcom Corporation | Security processor mirroring |
Family Cites Families (80)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5598410A (en) | 1994-12-29 | 1997-01-28 | Storage Technology Corporation | Method and apparatus for accelerated packet processing |
| US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
| JPH10107795A (ja) | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
| US6119236A (en) | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6591303B1 (en) | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
| US6199110B1 (en) * | 1997-05-30 | 2001-03-06 | Oracle Corporation | Planned session termination for clients accessing a resource through a server |
| US6049528A (en) | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
| US5909686A (en) | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
| US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
| US6775692B1 (en) | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
| US6006264A (en) | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
| US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
| US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6141749A (en) | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
| US6205551B1 (en) | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
| US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6466985B1 (en) | 1998-04-10 | 2002-10-15 | At&T Corp. | Method and apparatus for providing quality of service using the internet protocol |
| US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
| US6157955A (en) | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US6253321B1 (en) | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| US6633543B1 (en) | 1998-08-27 | 2003-10-14 | Intel Corporation | Multicast flow control |
| US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
| KR100333250B1 (ko) | 1998-10-05 | 2002-05-17 | 가나이 쓰토무 | 패킷 중계 장치 |
| JP3721880B2 (ja) | 1998-10-05 | 2005-11-30 | 株式会社日立製作所 | パケット中継装置 |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6301668B1 (en) | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US6952401B1 (en) | 1999-03-17 | 2005-10-04 | Broadcom Corporation | Method for load balancing in a network switch |
| US7643481B2 (en) | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
| US6788738B1 (en) * | 1999-05-07 | 2004-09-07 | Xilinx, Inc. | Filter accelerator for a digital signal processor |
| US6549516B1 (en) | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
| US7051066B1 (en) | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
| US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
| US6650641B1 (en) | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
| US6606315B1 (en) | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
| US6735169B1 (en) | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
| US6742045B1 (en) | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
| US6633560B1 (en) | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
| US6285656B1 (en) * | 1999-08-13 | 2001-09-04 | Holontech Corporation | Active-passive flow switch failover technology |
| US6851061B1 (en) | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
| US6738826B1 (en) * | 2000-02-24 | 2004-05-18 | Cisco Technology, Inc. | Router software upgrade employing redundant processors |
| US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| JP2001313640A (ja) | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| US6981158B1 (en) | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
| GB0020488D0 (en) * | 2000-08-18 | 2000-10-11 | Hewlett Packard Co | Trusted status rollback |
| WO2002019642A1 (en) * | 2000-08-30 | 2002-03-07 | Citibank, N.A. | Method and system for internet hosting and security |
| US20020032797A1 (en) | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for service addressing |
| AU2001293080A1 (en) | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
| EP1338130B1 (en) | 2000-11-30 | 2006-11-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| US7155515B1 (en) * | 2001-02-06 | 2006-12-26 | Microsoft Corporation | Distributed load balancing for single entry-point systems |
| FI20010267A0 (fi) * | 2001-02-13 | 2001-02-13 | Stonesoft Oy | Tietoturvagatewayn tilatietojen synkronointi |
| US6985983B2 (en) * | 2001-03-01 | 2006-01-10 | Hewlett-Packard Development Company, L.P. | Translating device adapter having a common command set for interfacing multiple types of redundant storage devices to a host processor |
| US7099350B2 (en) | 2001-04-24 | 2006-08-29 | Atitania, Ltd. | Method and apparatus for converting data between two dissimilar systems |
| US7543066B2 (en) * | 2001-04-30 | 2009-06-02 | International Business Machines Corporation | Method and apparatus for maintaining session affinity across multiple server groups |
| KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| US7239636B2 (en) | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
| US20030033463A1 (en) | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
| JP2003078549A (ja) | 2001-08-31 | 2003-03-14 | Hitachi Ltd | パケット転送方法およびその装置 |
| WO2003025766A1 (en) | 2001-09-14 | 2003-03-27 | Nokia Inc. | System and method for packet forwarding |
| EP1449093A4 (en) * | 2001-10-18 | 2005-06-08 | Univ Nebraska | ERROR TOLERANT FIREWALL LAYER STRUCTURES |
| DE10201655C1 (de) | 2002-01-17 | 2003-07-31 | Amcornet Gmbh | Multifunktions-Server,insbesondere Twin-Firewall-Server |
| US7222366B2 (en) | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US20030149887A1 (en) | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US6856991B1 (en) | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
| US6891158B2 (en) * | 2002-12-27 | 2005-05-10 | Revera Incorporated | Nondestructive characterization of thin films based on acquired spectrum |
| US7593346B2 (en) * | 2003-07-31 | 2009-09-22 | Cisco Technology, Inc. | Distributing and balancing traffic flow in a virtual gateway |
| CN1486025A (zh) * | 2003-08-22 | 2004-03-31 | 北京港湾网络有限公司 | PPPoE二层透传端口用户名绑定检查的方法 |
| US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
| US7535907B2 (en) | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2004
- 2004-10-12 US US10/961,075 patent/US7734752B2/en active Active
-
2005
- 2005-10-03 JP JP2005289900A patent/JP4782527B2/ja not_active Expired - Fee Related
- 2005-10-12 CN CN200510106769.2A patent/CN1761240B/zh active Active
- 2005-10-12 CN CN201210032725.XA patent/CN102647406B/zh active Active
- 2005-10-12 EP EP05022282.7A patent/EP1648136B1/en active Active
-
2010
- 2010-04-23 US US12/766,773 patent/US8326961B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/616,706 patent/US8631113B2/en not_active Expired - Lifetime
-
2013
- 2013-12-30 US US14/143,807 patent/US8959197B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6052788A (en) * | 1996-10-17 | 2000-04-18 | Network Engineering Software, Inc. | Firewall providing enhanced network security and user transparency |
| EP1143660A2 (en) * | 1999-06-10 | 2001-10-10 | Alcatel Internetworking, Inc. | State transition protocol for high availability units |
| US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
| CN1490983A (zh) * | 2002-10-15 | 2004-04-21 | 华为技术有限公司 | 一种独立于移动终端的个人信息管理方法 |
| EP1427162A1 (en) * | 2002-12-05 | 2004-06-09 | Broadcom Corporation | Security processor mirroring |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1648136A1 (en) | 2006-04-19 |
| CN102647406A (zh) | 2012-08-22 |
| CN102647406B (zh) | 2015-04-01 |
| JP2006115495A (ja) | 2006-04-27 |
| JP4782527B2 (ja) | 2011-09-28 |
| US8326961B2 (en) | 2012-12-04 |
| US20130067268A1 (en) | 2013-03-14 |
| CN1761240A (zh) | 2006-04-19 |
| US20140115379A1 (en) | 2014-04-24 |
| US8631113B2 (en) | 2014-01-14 |
| US7734752B2 (en) | 2010-06-08 |
| EP1648136B1 (en) | 2014-03-05 |
| US8959197B2 (en) | 2015-02-17 |
| US20060005231A1 (en) | 2006-01-05 |
| US20100242093A1 (en) | 2010-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| US9019863B2 (en) | Ibypass high density device and methods thereof | |
| JPH1127320A (ja) | パケット中継制御方法,パケット中継装置およびプログラム記憶媒体 | |
| CN104967609A (zh) | 内网开发服务器访问方法、装置及系统 | |
| US20070274307A1 (en) | Cluster System, Cluster Member, And Program | |
| CN116055254B (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN103947177B (zh) | 中间主机备份复制中的方法和设备 | |
| CN105553809B (zh) | 一种stun隧道管理方法及装置 | |
| CN100521685C (zh) | 安全转换器及用于检查其完整性的方法 | |
| CN108270593A (zh) | 一种双机热备份方法和系统 | |
| CN114157468B (zh) | 一种跨境支付报文传输方法及装置 | |
| CN116418595A (zh) | 访问Web服务器的安全验证系统及安全验证方法 | |
| US10237122B2 (en) | Methods, systems, and computer readable media for providing high availability support at a bypass switch | |
| CN115333994A (zh) | 实现vpn路由快速收敛的方法、装置以及电子设备 | |
| CN102123102B (zh) | 节点保护方法、包过滤装置及虚拟网络系统 | |
| CN101202658A (zh) | 多主机系统的服务接管系统及方法 | |
| CN113037622B (zh) | 一种防止bfd震荡的系统及方法 | |
| Kim et al. | Protection switching methods for point‐to‐multipoint connections in packet transport networks | |
| JPH09186718A (ja) | ネットワークの経路を制御する経路制御装置および方法 | |
| CN109510725A (zh) | 通信设备故障检测系统及方法 | |
| EP2540050B1 (en) | Dual bypass module | |
| CN106161548B (zh) | 用于软件定义网络中数据库、应用程序与储存安全的系统 | |
| KR20030033383A (ko) | 보안 서비스 시스템 및 그 운영 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |